一、概要

近日，互聯(lián)網(wǎng)上出現(xiàn)新型變種勒索病毒（FilesLocker）。FilesLocker是一款代理型勒索軟件，已經(jīng)從FilesLocker 1.0、FilesLocker 2.0升級(jí)到最新的FilesLocker 2.1圣誕版，通過(guò)中間代理人向外傳播。設(shè)備感染該病毒后，系統(tǒng)文件會(huì)被加密，電腦桌面壁紙將被更換為圣誕節(jié)日相關(guān)圖片，目前尚未公布秘鑰，暫時(shí)無(wú)法解密恢復(fù)。

請(qǐng)各位租戶(hù)注意防范。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

開(kāi)啟了445端口SMB網(wǎng)絡(luò)共享協(xié)議，且未升級(jí)漏洞補(bǔ)丁的Windows系統(tǒng)（包括個(gè)人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了MS17-010漏洞補(bǔ)丁包；

2. 檢查系統(tǒng)是否開(kāi)啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議；

3. 檢查系統(tǒng)桌面是否被更改為圣誕相關(guān)圖片；

4. 檢查系統(tǒng)是否升級(jí)其他漏洞補(bǔ)丁

處置方案：

1. 隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2. 切斷傳播途徑：關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問(wèn)；

3. 查找攻擊源：手工抓包分析或借助態(tài)勢(shì)感知類(lèi)產(chǎn)品分析，確認(rèn)全網(wǎng)感染數(shù)量；

4. 查殺病毒：可使用以下工具進(jìn)行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip）

5. 修補(bǔ)漏洞：安裝“永恒之藍(lán)”漏洞補(bǔ)丁。請(qǐng)到微軟官網(wǎng)，下載對(duì)應(yīng)的漏洞補(bǔ)?。?a >https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）

6. 設(shè)置復(fù)雜密碼：如果主機(jī)賬號(hào)使用簡(jiǎn)單密碼，建議重置為高強(qiáng)度的密碼。

7. 感染FilesLocker1.0和FilesLocker2.0版本病毒的主機(jī)，可以嘗試?yán)靡韵鹿ぞ呓饷埽海?a >http://edr.sangfor.com.cn/tool/FilesLockerDecrypter.zip）。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來(lái)源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號(hào)密碼為高強(qiáng)度的密碼；

4. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專(zhuān)業(yè)的第三方反病毒軟件（推薦使用華為云市場(chǎng)軟件）；

6. 關(guān)閉或通過(guò)安全組限制不必要的文件共享權(quán)限以及端口，如：445、3389等。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。